Veilige opslag (ISO 27001/27018)
Opgeslagen gegevens in SuperOffice CRM worden beschermd door een ISO 27001 en ISO 27018 gecertificeerd Information Security Management System (ISMS).
Aangezien de ISO-normeringen de internationale best practices zijn voor informatiebeveiliging, stimuleert de GDPR bedrijven om een ISO 27001-certificering te behalen, om te laten zien dat informatiebeveiliging serieus wordt genomen in alle geledingen van de organisatie.
Het SuperOffice Information Security Management System zorgt ervoor dat elk incident binnen SuperOffice CRM wordt afgehandeld volgens een strikt gedefinieerde procedure.
Externe beveiligingsconsultants controleren het beveiligingsbeleid en testen op regelmatige basis de verdedigings- en beveiligingscontroles. SuperOffice en onze hostingpartner zetten zich volledig in om alle informatie in SuperOffice CRM te beschermen.
Hosting Partner
Visma ITC AS is verantwoordelijk voor de hosting van SuperOffice CRM. Alle hardware, infrastructuur, gegevensopslag en communicatielijnen worden beheerd en aangeboden door Visma ITC.
Visma ITC heeft de volgende certificeringen: ISO 9001, ISO 20000, ISO 27001 en ISO 27018. De veiligheidsverklaringen en het genoemde veiligheidsbeleid in dit document zijn van toepassing op zowel SuperOffice AS, als de leverancier, als op Visma ITC, als de uitbestedingspartner van SuperOffice AS.
Veiligheid van het personeel
De toegang tot de kantoren en faciliteiten van Visma ITC wordt gecontroleerd door een toegangscontrolesysteem in het gebouw. Er is videobewaking bij de ingang van het gebouw. Het is niet mogelijk toegang te krijgen tot de faciliteiten van Visma ITC zonder uitdrukkelijk verkregen toegang of zonder de supervisie van geautoriseerde medewerkers van Visma ITC.
De kwalificaties van de medewerkers die verantwoordelijke zijn voor het systeembeheer, zoals ontwerpers, ontwikkelaars en systeembeheerders, worden gecontroleerd door middel van vraaggesprekken, tests en de verificatie van referenties. De medewerkers krijgen passende trainingen om ervoor te zorgen dat ze zeer gekwalificeerd zijn om de verantwoordelijkheden van hun taken aan te kunnen.
Fysieke en omgevingsbeveiliging
Alle gegevens in SuperOffice CRM worden opgeslagen op beveiligde servers die zich binnen de EU/EER bevinden. Het belangrijkste productiesysteem bevindt zich in twee afzonderlijke datacentra in Noorwegen. De datacentra worden zowel door mensen als door middel van technische veiligheidsmaatregelen beschermd. Toegang tot de datacentra wordt exclusief beheerd door Visma ITC en de technische medewerkers ervan zijn 24x7/365 beschikbaar.
Het netwerk van SuperOffice CRM is geconfigureerd volgens de best practices op het gebied van veiligheid, met afzonderlijke, geïsoleerde netwerkzones voor de verschillende onderdelen van het systeem. De netwerkbewaking biedt stabiliteit en robuustheid aan de oplossing, dankzij de proactieve acties en snelle probleemdetectie. Er worden ook waarschuwingen naar ons verstuurd wanneer/als indringers in het systeem proberen te komen.
Alle servers zijn aangesloten op redundante stroomvoorzieningen. Er worden redundante koelsystemen gebruikt om voor een stabiele temperatuur en bedrijfsomstandigheden in de serverruimte te zorgen. Er zijn brandbeveiligingsmaatregelen genomen in de faciliteiten. Bovendien is er een calamiteitenherstelplan ontwikkeld om, indien noodzakelijk, een snel herstel te kunnen garanderen.
De SuperOffice SaaS/webtoepassing wordt gehost op een aantal gevirtualiseerde, geclusterde Windows-servers. De servers zijn gebouwd met volledige redundantie op alle niveaus, inclusief redundante stroomvoorzieningen met afzonderlijke UPS, RAID-mirroring van alle schijven en redundante netwerkkaarten.
Bovendien zijn alle servers geconfigureerd binnen een omgeving met een gelijke taakverdeling en fouttolerantie voor alle servertaken; dit betekent dat er afzonderlijke servergroepen voor webservers, databaseservers en bestandsservers zijn. Alle SuperOffice-servers en -netwerken worden 24x7 bewaakt. Gearchiveerde documenten in SuperOffice worden opgeslagen op Microsoft Azure-servers in twee redundante datacentra in de EU.
Netwerkbeheer
Alle netwerken worden beschermd door redundante firewalls. Communicatie tussen locaties wordt beveiligd door middel van een versleutelde VPN-verbinding. Elke wijziging van de firewall-regels is het gevolg van een wijziging in de beheerprocedures en wordt nauwkeurig geregistreerd.
Versleuteling
Alle communicatie tussen onze servers en de klanten die toegang hebben tot onze site, wordt versleuteld met behulp van SSL (Secure Socket Layer). Alle communicatie tussen mobiele toepassingen van SuperOffice en de servers wordt ook versleuteld met behulp van SSL. We maken altijd gebruik van internationaal erkende cryptografische methoden om opgeslagen informatie op onze site te beschermen, zoals TLS and IPSEC/RSA256(SHA256withRSA)/HSTS.
Operationele procedures en verantwoordelijkheden
SuperOffice meldt geplande onderbrekingen minimaal 24 uur van tevoren. De systeemstatus en geplande uitvaltijd worden weergegeven op het aanmeldscherm van elke gebruiker en op de statuspagina: status.superoffice.com.
De servicecapaciteit en -prestaties worden continu bewaakt. Op deze wijze kunnen we eenvoudig de behoefte aan server- en infrastructuur-upgrades voorspellen. Ons beleid (schema) voor upgrade- en patchbeheer is zo geconfigureerd dat het de operationele impact op de klant minimaliseert. Patches voor systeemkritische problemen worden zo snel mogelijk uitgevoerd.
Bescherming tegen schadelijke software
Er is centraal beheerde antivirussoftware geïnstalleerd op alle servers en intern gebruikte desktopcomputers. De omgeving van SuperOffice CRM wordt dagelijks gescand op kwetsbaarheden en alle beschermingshulpprogramma's worden continu bijgewerkt.
Reservekopie
Er wordt elke nacht een back-up gemaakt van alle gegevens en deze wordt opgeslagen op twee afzonderlijke, beveiligde locaties. Back-upsets worden versleuteld en verzonden via een versleutelde VPN-tunnel.
SuperOffice CRM is gebaseerd op twee typen gegevensopslag: Microsoft SQL Server-database en het documentenarchief. Alle gegevens zijn voor iedere klant volledig gescheiden. Alle databases beschikken over een back-up die tot 30 dagen terug kan worden hersteld. Dit betekent dat een herstel kan worden uitgevoerd vanaf elke gewenste datum/tijd binnen de laatste 30 dagen. Bovendien wordt er een maandelijkse back-up uitgevoerd en gedurende 12 maanden opgeslagen. Een jaarlijkse back-up wordt gedurende 10 jaar opgeslagen.
Alle documentenarchieven beschikken over continue mirroring tussen twee fysiek gescheiden datacentra en beschikken over afzonderlijke back-ups op beide locaties. De back-up wordt een maal per dag uitgevoerd (meestal 's nachts). Back-ups van documentwijzigingen blijven 30 dagen opgeslagen. Back-ups van verwijderde bestanden (documenten) blijven gedurende 90 dagen opgeslagen.
Back-uproutines voor apps van derden zijn onderhevig aan de specificaties en servicevoorwaarden van de leveranciers (derde partijen) van deze apps en vormen geen onderdeel van de servicewerkzaamheden van SuperOffice CRM.
Beheersing van bedrijfscontinuïteit
SuperOffice heeft een calamiteitenherstelplan ontwikkeld. De productieomgeving is redundant geconfigureerd om een hoge beschikbaarheid te kunnen bieden bij storingen en om hoge verkeerspieken naar onze site te kunnen opvangen. SuperOffice en Visma ITC (onze hostingpartner) beschikken over gemeenschappelijke en coherente procedures voor incidentenbeheer en calamiteitenherstel.
Toegangsbeheer tot SuperOffice CRM services
Elke onbevoegde toegang tot de site van SuperOffice wordt automatisch geblokkeerd door een firewall. SSL (Secure Socket Layer)-versleuteling en gebruikersverificatie zorgen ervoor dat de informatie wordt beschermd en dat alleen gebruikers uit de organisatie van de klant toegang hebben tot de gegevens.
Voor klantinstallaties ondersteunen we de opslag van gebruikersnaam en wachtwoord in SuperOffice CRM, Office 365 en G Suite (Google). Bij gebruik van Office 365 en G Suite wordt de tweeledige verificatie ondersteund.
Toegang tot persoonlijke informatie
Gebruikers zich kunnen op onze site op elk gewenst moment aanmelden met gebruikersnaam/wachtwoord, toegang krijgen tot persoonlijke informatie en contactgegevens bijwerken.
Toegangsbeheer in de SuperOffice CRM-toepassing
Gebruikerstoegang wordt beheerd door de klant. De klant is verantwoordelijk voor de toewijzing van de juiste rechten aan afzonderlijke gebruikers. Gebruikersverificatie wordt uitgevoerd via de combinatie gebruikersnaam/wachtwoord. De klant kan gebruikers maken met verschillende toegangsniveaus, op basis van hun rol of rechten in SuperOffice CRM.
Er wordt geen centraal wachtwoordbeleid opgelegd door SuperOffice. De klant moet een eigen wachtwoordbeleid bepalen dat in overeenstemming is met het wachtwoordbeleid van zijn/haar bedrijf. De gebruiker/klant is verantwoordelijk voor het beveiligen van de eigen gebruikersnamen en wachtwoorden.
Toegangscontrole besturingssysteem
Alleen geautoriseerde systeemmedewerkers hebben toegang tot de SuperOffice-servers en kunnen besturingssysteemafhankelijk beheer hierop uitvoeren. Patchbeheer op het besturingssysteem en op besturingssysteemafhankelijke software wordt zo snel mogelijk uitgevoerd nadat de nieuwe patches zijn vrijgegeven en getest binnen een testomgeving.
Audittrail en systeemtoegang
Alle webtoegang tot de site wordt zowel in de database als in logbestanden geregistreerd. Er wordt dagelijks een back-up gemaakt van de logbestanden en het is mogelijk om terug te gaan in de tijd en informatie te zoeken over wie toegang heeft gehad tot een SuperOffice-site en op welk tijdstip.
Alleen geautoriseerde medewerkers beschikken over de rechten om logbestanden te beheren en toegangsniveaus tot het systeem te wijzigen. Aanmeldingen en gebruik van systeemrechten worden vastgelegd op servers. Aanmeldingen worden geregistreerd met een gebruikersnaam en IP-adres.